Windows-Passwortklau via Browser: Forscher warnen vor ungepatchter Sicherheitslücke

Eine seit zwei Jahren bekannte Phishing-Technik zum Diebstahl von Windows-Passwörtern über den Browser bleibt ungepatcht. Forscher demonstrierten, wie Angreifer durch einen geschickten Trick Anmeldedaten direkt aus dem Betriebssystem abgreifen können, ohne dass Nutzer es bemerken. Die Methode nutzt eine Schwachstelle in der Interaktion zwischen Webbrowsern und Windows, um den Diebstahl zu ermöglichen – ein Problem, das laut den Sicherheitsexperten von keinem der betroffenen Hersteller behoben wird.

Die Technik funktioniert über manipulierte Webseiten, die den Browser dazu bringen, eine spezielle Windows-Authentifizierungsanfrage auszulösen. Nutzer, die dieser Anfrage zustimmen, übermitteln dabei unwissentlich ihre Windows-Anmeldedaten an den Angreifer. Besonders kritisch: Der Angriff kann auch über populäre Browser wie Firefox erfolgen und hinterlässt kaum Spuren für den ahnungslosen Anwender. Die Forscher verweisen darauf, dass die Lücke nicht auf einen Programmierfehler, sondern auf ein Design-Problem zurückgeht.

Die anhaltende Untätigkeit der Software-Hersteller stellt ein erhebliches Sicherheitsrisiko dar. Unternehmen und Privatanwender, die auf Windows-Systeme angewiesen sind, bleiben damit einem simplen, aber effektiven Angriffsvektor ausgesetzt. Die Situation verdeutlicht die Herausforderungen bei der Behebung von grundlegenden Design-Schwachstellen, die tief in der Systemarchitektur verankert sind. Solange kein Patch verfügbar ist, bleibt erhöhte Wachsamkeit gegenüber verdächtigen Webseiten die einzige Verteidigungslinie.